就在索尼PSN網路遭駭客攻擊而關閉數週後,SEGA日前也傳出遭受攻擊,駭客攻擊事件似乎有增加的趨勢。最近一個月,Citibank、美國聯邦調查局(FBI)附屬機構、Bethesda、Codemasters、Epic Games、任天堂等廠商均受到駭客攻擊,凸顯網路安全防護的脆弱。
自2007年以來,網路犯罪造成的經濟損失估計成長約376%,遠高於同期41%的IT安全支出預估成長值。數百萬的企業每年因網路犯罪和惡意軟體攻擊,損失金額高達數十億美元。我們正面臨一個真正的全球性惡意程式瘟疫。
網路已成為網犯罪和惡意軟體攻擊的主要管道,92%的攻擊來自瀏覽遭感染的合法網站。駭客入侵的手法之一,除了攻擊網站之外,也會結合一些不同攻擊的指令、隱藏式的連結、惡意廣告、點擊綁架、障眼手法,進行對其他網站的攻擊。攻擊先決條件是使用者必須同時瀏覽遭到植入惡意程式碼的網頁及被當成攻擊對象的正常網頁。而這些都會讓使用者在逛網頁時,不知不覺中被安裝一些惡意的程式,並將個人隱私暴露在危險之中。
隨著網路犯罪分子開始將戰場轉移至雲端運算計算,這種類型犯罪的進入門檻將會越來越低,惡意軟體感染方式會比以往更加活躍且精準。分析師們一致認同,採用主動式安全防護解決方案才能即時、有效防範最新的威脅和目標攻擊。
採購安全防護解決方案之前,以下六大步驟可協助建立有效的Web安全防護:
步驟1:定義需要保護的對象。哪些人需要被保護?公司員工?訪客?約聘人員?分公司?或是行動用戶。那些資料需要被保護?哪些是機密、敏感、重要的資料?客戶資料?員工資料?智慧財產財務資料?競爭資料?系統?存取資料記錄?企業或代理品牌的聲譽?
步驟2:了解公司對Web安全與工作效率有哪些要求。安全與效率間的要求能否取得最佳的平衡。
步驟3:了解Web安全防護有哪些方法。在評估Web安全解決方案時應思考未來的需求和期望,並且同時了解目前的資安防護還有哪些需要補強。
步驟4:評估Web安全解決方案。在評估Web安全解決方案時,要了解其解決方案所使用的技術,以及如何有效地防止惡意攻擊。這些技術和工具所提供的功能都必須符合公司的風險評估與使用政策需求。
步驟5:實施有效的使用政策。針對所有目前以及未來會使用的網路、社交網站以及所有Web 2.0工具建立全方位的使用政策。
步驟6:持續監控、記錄分析報表、適時調整政策。記錄分析報表是Web安全解決方案非常重要的一部分。詳細、快速、可長時間儲存記錄的報表性能,可協助IT人員迅速取得資料因應資安事件、即時追查違反使用政策的用戶以及作為調整使用政策之依據。
(本文作者現任M86 Security大中華區副總經理)